Issue:
Wenn ein Benutzer versucht, auf bestimmte Websites zuzugreifen, erhält der Administrator in der Policy Manager-Konsole eine Warnung, dass eine DNS-Abfrage für eine Domäne blockiert wurde
Wir erhalten einen Fehler vom Policy Manager mit „ 309 2020-03-22 21:57:47+01:00 SERVER0X SYSTEM F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 Blockierte eine DNS-Abfrage für die folgende unsichere Domäne: www. t est.com
Resolution:
Hinweis: Die Benachrichtigungen, die Sie vom F-Secure Policy Manager Server bezüglich des DNS-Filters erhalten, sind keine Fehler. Dies sind Warnungen/Benachrichtigungen, die von Clients gesendet werden. F-Secure Policy Manager generiert keine Fehler im Namen von Clients. Clients generieren lokal Fehler und senden nur Warnungen an Policy Manager.
Wenn die Alarmweiterleitung über den Policy Manager aktiviert ist, wird der Administrator jedes Mal, wenn eine Abfrage blockiert wird, entsprechend benachrichtigt.
Dies ist ein erwartetes Verhalten. Um es besser zu verstehen, lesen Sie bitte die folgende Erklärung:
DNS-Abfragen basieren auf der ORSP-Bewertung, daher muss ORSP für alle Clients in der Policy Manager-Konsole aktiviert werden.
So aktivieren Sie Security Cloud mithilfe der F-Secure Policy Manager-Konsole:
Melden Sie sich bei der WithSecure Policy Manager-Konsole an und navigieren Sie zur erweiterten Ansicht
Erweitern Sie die Client-Einstellungen der F-Secure Security Cloud und stellen Sie sicher, dass „Tiefere Analysen zulassen“ und „Client ist aktiviert“ auf „Ja“ eingestellt sind, und verteilen Sie die Richtlinie.
ORSP steht für Object Reputation Service Protocol. Wenn auf einem Client ein neues Objekt, beispielsweise eine Datei oder eine URL, gefunden wird, kommuniziert das Produkt über das stark verschlüsselte Object Reputation Service Protocol (ORSP) mit der Security Cloud, um die Reputationsdetails des Objekts abzufragen. Anonyme Metadaten über das Objekt, beispielsweise Dateigröße und anonymisierter Pfad, werden an die Security Cloud gesendet. Weitere Informationen zur Security Cloud finden Sie hier: https://www.f-secure.com/en/web/legal_global/ Datenschutz/security-cloud
Der Botnet-Blocker arbeitet auf der Ebene der DNS-Auflösung und der IP-Adresse .
Wenn die DNS-Filterung aktiviert ist, erlauben wir die Auflösung von DNS-Adressen nicht, wenn wir wissen, dass diese DNS-Adressen nicht sicher sind.
Wenn die IP-Reputationsfilterung aktiviert ist, blockieren wir Verbindungen zu IP-Adressen, für die wir im ORSP eine Reputation haben.
Wenn Sie alle Abfragen zulassen, bedeutet dies, dass Sie den DNS-Filter deaktiviert haben. Dadurch deaktivieren Sie das DNS-Scanning auf NIF-Ebene (Network Interception Framework).
Wenn Sie beispielsweise „Nur sichere Abfragen zulassen“ einstellen, wird möglicherweise trotzdem der lokale DNS blockiert.
DNS-Eintragsinformationen werden normalerweise für einen bestimmten Zeitraum zwischengespeichert (in Ihrem lokalen Browser, Computer oder Netzwerk-Forwarder gespeichert); normal ist ein Zeitraum zwischen 5 Minuten und 8 Stunden.
Block unsicher => unbekannt, susp, sicher wird durchgehen.
unsichere (bösartige) werden blockiert. Blockieren Sie unsichere, susp => unbekannte und sichere Elemente, und kommen Sie durch.
unsicher (bösartig) und verdächtig werden blockiert. Nur sicher zulassen => nur als sicher eingestufte kommen durch. unbekannt, verdächtig, unsicher (bösartig) werden blockiert.
Blockieren der Botnetz Kommunikation
Botnet Blocker ist eine Sicherheitsfunktion, die verhindern soll, dass Botnetz -Agenten mit ihren Befehls- und Kontrollservern kommunizieren.
Die Funktion verwendet DNS-Reputationsdaten, um die Sicherheit von Abfragen bei der Übersetzung von DNS-Anfragen in IP-Adressen zu überprüfen.
So konfigurieren Sie den Botnet Blocker in der Standardansicht :
Gehen Sie auf der Seite Einstellungen > Web-Traffic-Scan zu Botnet-Blocker
Legen Sie die Filterung fest, die für DNS-Abfragen verwendet werden soll.
Standardmäßig ist dies auf „Unsichere Abfragen blockieren“ eingestellt .
Legen Sie die Warnstufe für Benachrichtigungen über blockierte DNS-Abfragen fest.
Verteilen Sie die Richtlinie:
Sie können auswählen, was für Sie am besten funktioniert. In der Policy Manager-Konsole stehen Ihnen verschiedene Optionen zur Verfügung:
Notiz:
Wenn eine interne oder externe URL vom Netzwerkfilter blockiert wird, wie in diesem Beispiel: „F-Secure Network Filter 1.3.6.1.4.1.2213.11.1.12 hat eine DNS-Abfrage für die folgende unsichere Domäne blockiert: …“
Die Domäne wurde von unserem ORSP als „bösartig“ erkannt und daher blockiert.
Sie können dies lösen, indem Sie das ULR-Beispiel hier einreichen: „Beispiel einreichen | WithSecure™“ und warten Sie, bis Sie eine Antwort erhalten, die Ihnen mitteilt, ob die Seite/URL als sauber markiert ist.
Oder
Sie können die URL als vertrauenswürdige Site in Ihrer Policy Manager-Konsole hinzufügen:
Für F-Secure Client Security 14.x und höher :
Melden Sie sich bei der F-Secure Policy Manager-Konsole an
Wählen Sie den Host oder die Domäne aus dem Domänenbaum aus
Gehen Sie zur Registerkarte „Einstellungen“ und wählen Sie „Standardansicht“
Gehen Sie zur Seite „Webinhaltskontrolle“
Klicken Sie rechts neben der Liste der vertrauenswürdigen Sites auf „Hinzufügen“.
Geben Sie die Serveradresse in die Spalte „Adresse“ ein.
Verteilen Sie die Richtlinie (Strg+D).
In der Adresse ist kein Platzhalter erforderlich, zum Beispiel:
Fügen Sie eine Firewall-Regel hinzu, um die Verbindung zum nicht standardmäßigen DNS zuzulassen
Verwandte Artikel:
Durch das Scannen des Webverkehrs werden interne Server, URLs oder Anwendungen blockiert.
Article no: 000010712
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.
